揭秘丨反人脸识别，身份欺骗成功率达到99.5%

在一些社交媒体平台上，每次上传照片或视频时，其面部识别系统都会尝试从这些照片和视频中获取更多信息。

例如，这些算法提取有关您是谁、您的位置以及您认识的其他人的数据，并且它们正在不断改进。

现在，人脸识别的克星——“反人脸识别”已经问世。

多伦多大学的 Parham Aarabi 教授和研究生 Avishek Bose 团队开发了一种可以动态破坏面部识别系统的算法。

他们的解决方案利用了一种称为对抗训练的深度学习技术，该技术使两种人工智能算法相互对抗。

深度神经网络现在被应用于自动驾驶汽车、癌症检测等多种问题，但迫切需要更好地了解这些模型容易受到攻击的方式。

在图像识别领域，向图像添加小的、通常难以察觉的扰动可能会欺骗典型的分类网络对图像进行错误分类。

这种受到干扰的图像称为对抗性示例，它们可用于对网络进行对抗性攻击。

创建对抗性示例的方法有多种，它们在复杂性、计算成本以及被攻击模型所需的访问级别方面差异很大。

一般来说，对抗性攻击可以根据攻击模型的访问级别和对抗目标进行分类。

白盒攻击可以完全访问他们所攻击的模型的结构和参数；黑盒攻击只能访问被攻击模型的输出。

一种基线方法是快速梯度符号方法（FGSM），它根据输入图像的梯度来攻击分类器的损失。

FGSM 是一种白盒方法，因为它需要访问受攻击分类器的内部结构。

针对图像分类的深度神经网络的攻击有几种较强的对抗性攻击方法，例如L-BFGS、基于acobian的显着图攻击（JSMA）、DeepFool和Carlin-Wagner等。

然而，这些方法都涉及复杂的优化可能存在干扰的空间，这使得它们速度缓慢且计算成本昂贵。

与攻击分类模型相比，攻击目标检测的流程要困难得多。

最先进的检测器，例如 Faster R-CNN，使用不同尺度和位置的目标方案，然后对它们进行分类；对象的数量比分类模型大几个数量级。

此外，如果受攻击的方案仅占总数的一小部分，则不同的方案子集仍然可以正确检测受扰动的图像。

因此，成功的攻击需要同时欺骗所有对象场景。

在这种情况下，研究人员证明可以对最先进的人脸检测器进行快速对抗性攻击。

研究人员开发了一种干扰面部识别算法的“隐私过滤器”。

该系统依赖于两种人工智能算法：一种执行连续的面部检测，另一种旨在破坏前者。

研究人员提出了一种基于 Faster R-CNN 的针对人脸检测器的新攻击方法。

该方法的工作原理是生成小扰动，当将这些扰动添加到输入人脸图像时，会导致预训练的人脸检测器失败。

为了产生对抗性干扰，研究人员提出基于预训练的 Faster R-CNN 人脸检测器来训练生成器。

给定图像，生成器将产生一个小的干扰，可以将其添加到图像中以欺骗面部检测器。

人脸检测器仅在未受干扰的图像上进行离线训练，因此不知道生成器的存在。

随着时间的推移，生成器学会生成扰动，从而有效地愚弄它所训练的面部检测器。

生成对抗性示例非常快速且便宜，甚至比 FGSM 更便宜，因为为输入创建干扰只需要在生成器完全训练后进行前向传递。

两个神经网络互相争斗，形成“隐私”过滤器 研究人员设计了两个神经网络：第一个用于识别面部，第二个用于干扰第一个神经网络识别面部的任务。

这两个神经网络不断地相互竞争并相互学习。

结果是一个类似 Instagram 的“隐私”过滤器，可以应用于照片以保护隐私。

秘密在于他们的算法会改变照片中的特定像素，但人眼几乎察觉不到这些变化。

该项目的主要作者博斯说：“干扰性人工智能算法无法‘攻击’用于检测人脸的神经网络正在寻找的东西。

” “例如，如果检测网络正在寻找眼角，干扰算法就会调整眼角，使眼角处的像素不那么明显。

该算法在照片中产生非常小的干扰，但对于检测器来说，这些干扰足以欺骗系统“算法 1：通过对抗生成器训练，给定人脸检测置信度的对抗成功率。

。

α值是边界框区域被分类为人脸之前的置信度阈值，右侧两列表示照片中检测到的人脸数量。

研究人员在 -W 人脸数据集上测试了他们的系统，该数据集包含 10 多张多个种族、不同光照条件和背景环境的人脸照片，是一个行业标准库。

结果表明，他们的系统可以将本来可以检测到的人脸比例从接近 0.5% 减少。

所提出的对抗性攻击的一个要点是，生成器网络 G 创建图像条件扰动来欺骗人脸检测器。

“这里的关键是训练两个神经网络相互对抗——一个用于创建越来越强大的人脸检测系统，另一个用于创建更强大的工具来禁用人脸检测，”博斯说。

该团队的研究成果将在即将召开的会议上展示。

在 IEEE 国际多媒体信号处理研讨会上发表并发表。

将-W数据集的人脸检测与相应的对抗性样本进行比较，这些样本产生了干扰，没有被Faster R-CNN人脸检测器检测到。

检测到的人脸包含在具有相应置信度值的边界框中。

为了可视化，干扰被放大了 10 倍。

除了禁用面部识别之外，新技术还会干扰基于图像的搜索、特征识别、情感和种族确定以及其他可以自动提取面部属性的属性。

接下来，该团队希望通过应用程序或网站提供隐私过滤器。

“十年前，这些算法必须由人类定义，但现在神经网络可以自行学习——除了训练数据之外，你不需要向它们提供任何东西，”阿拉比说。

“最终，他们可以做一些非常惊人的事情，并且拥有巨大的潜力。